인텔® 액티브 관리 기술: 개인정보 보호정책 최근 업데이트: 2021년 8월 12일
인텔사는 귀하의 개인정보를 보호하기 위해 최선을 다합니다. 이 문서에서는 인텔® 액티브 관리 기술(인텔® AMT)이 제공하는 개인정보 보호 기능 및 성능, IT 관리자가 인텔 AMT를 통해 할 수 있는 일과 없는 일, 인텔 AMT가 사용자의 시스템에 저장하는 데이터 유형에 대해 알아보겠습니다. 이 문서는 인텔 온라인 개인정보취급방침을 보완하며 인텔 AMT에만 적용됩니다.
인텔 AMT란?
인텔 AMT는 기업의 권한 있는 관리자가 네트워크로 연결된 컴퓨터 시스템의 대역 외(OOB) 원격 지원 및 관리를 수행할 수 있게 해줍니다.
인텔 AMT로 인해 발생할 수 있는 개인정보 문제는?
원격 관리 기능은 오랜 기간 동안 소프트웨어 공급업체에서 제공해왔고 여러 조직의 IT 부서에서 사용해왔습니다.
그러나 인텔 AMT는 사용자가 부재 중이거나 컴퓨터를 끈 상태에서도 IT 관리자가 사용자의 컴퓨터를 원격에서 지원 및 관리할 수 있게 해줍니다.
사용자는 시스템에 인텔 AMT가 활성화되었는지 어떻게 알 수 있습니까?
인텔은 최종 사용자에게 인텔 AMT의 현재 상태를 투명하게 알리기 위해 시스템 트레이 아이콘을 개발했습니다. 현재 표준 인텔 AMT 소프트웨어에는 드라이버 및 서비스와 함께 설치되는 인텔® 관리 및 보안 상태(IMSS) 응용 프로그램 및 시스템 트레이 아이콘이 포함되어 있습니다. IMSS 시스템 트레이 아이콘은 시스템에서 인텔 AMT의 현재 상태(활성화 또는 비활성화)를 표시하며 인텔 AMT 기능의 활성화/비활성화 방법에 대한 지침을 제공합니다. 인텔은 각 주문자 상표 부착 제조업체(OEM)에서 IMSS 응용 프로그램을 로드하도록 권장합니다. 그러나 OEM이 인텔의 권장 사항을 따르지 않을 수 있고 최종 고객의 IT 관리자가 인텔 AMT 지원 시스템을 최종 사용자에게 제공하기 전에 IMSS 응용 프로그램을 삭제하는 경우가 있을 수 있습니다. OEM의 구현 방식에 따라, 사용자는 컴퓨터의 시스템 BIOS에서도 인텔 AMT 상태를 확인할 수 있습니다. 그러나 일부 기업의 IT 부서는 사용자에게 인텔 AMT의 활성화/비활성화 또는 인텔 AMT의 상태 확인에 필요한 시스템 BIOS 액세스 권한을 부여할 수 없습니다.
인텔 AMT는 사용자의 어떤 개인 정보를 수집합니까?
인텔 AMT는 사용자로부터 어떠한 개인 정보(예: 주소, 이름, 전화 번호 등)도 수집하지 않습니다.
인텔 AMT에서 인텔사로 전송하는 정보에는 어떤 유형이 있으며 해당 정보는 어떻게 사용됩니까?
인텔 AMT는 인텔사로 어떠한 데이터도 보내지 않습니다.
인텔 AMT는 어떤 종류의 정보를 저장합니까?
인텔 AMT는 시스템 마더보드의 플래시 메모리에 정보를 저장합니다. 이 정보에는 펌웨어 코드, 하드웨어 인벤토리 데이터(예: 메모리 크기, CPU 유형, 하드디스크 유형), 플랫폼 이벤트(예: CPU 과열, 팬 고장, BIOS POST 메시지)를 기록하는 이벤트 로그, 인텔 AMT 보안 이벤트(예: 인텔 AMT 암호 공격 이벤트 또는 시스템 보호 필터 트리핑에 대한 경고), 인텔 AMT 구성 데이터(예: 네트워크 설정, 액세스 제어 목록, 프로비저닝 데이터를 포함한 범용 고유 식별자(UUID), LAN MAC 주소, 키, KVM(키보드-비디오-마우스) 암호, TLS(전송 계층 보안) 인증서, IT 구성 무선 네트워크 프로파일)가 있습니다. 모든 구성 데이터는 민감한 정보로 간주되며 플래시에 암호화된 형태로 저장됩니다. UUID에 대한 자세한 정보는 아래 섹션을 참조하십시오.
인텔 AMT 11.0 이전 버전은 등록된 독립 소프트웨어 공급업체(ISV) 응용 프로그램이 타사 데이터 저장소(3PDS)라는 플래시 메모리 저장소의 영역에 데이터를 저장할 수 있게 해줍니다. 인텔 AMT 11.6 버전부터는 이 기능이 웹 응용 프로그램 호스팅으로 바뀌었습니다. 인텔 AMT는 이 기능을 사용하여 클라이언트 플랫폼에서 로컬로 관리하는 NVM(비휘발성 메모리)에 웹 응응 프로그램을 호스팅할 수 있습니다.
인텔은 책임 있는 데이터 관리를 위한 최적의 개인정보 처리 방침을 ISV에 전달하고 있으나, 플래시 메모리의 해당 영역에 어떤 데이터를 저장할 것인지를 결정하거나 ISV 데이터의 암호화 방법을 지원하지는 않습니다. 따라서 ISV는 민감하다고 생각되는 데이터의 경우 플래시에 저장하기에 앞서, 암호화하는 것이 좋습니다. 이곳에 데이터를 저장함에 따른 개인정보의 위험이 우려되는 경우, 해당 타사 소프트웨어 개발자에게 NVM에 저장되는 정보 및 웹 응용 프로그램의 유형 및 정보의 보호 방법에 대한 추가적인 세부 정보를 요청하십시오.
인텔 AMT는 UUID를 어떻게 사용합니까? UUI는 인텔 AMT 지원 플랫폼에서 어떤 기능을 활성화 및 비활성화합니까?
범용 고유 식별자(UUID)는 인텔 AMT에서 여러 가지 용도로 사용되는 인공 산물로, 프로비저닝 프로세스, 시스템 보안(예: 암호, 키, TLS 인증서)이 포함되며 IT 관리자가 기업 내 특정 사용자의 시스템에 정확하게 접속하여 시스템을 관리할 수 있게 해줍니다.
인텔 VPRO 플랫폼은 제로 터치 프로비저닝과 같은 영구 UUID를 필요로 하는 사용 사례를 지원하기 위해 인텔 고유 플랫폼 ID(UPID)라고 불리우는 영구 UUID와 함께 제공됩니다. UPID 기능은 OEM 구현에 따라 다릅니다. UUID는 인텔 AMT와 관계 없이 현재 거의 모든 PC에 존재하며 OEM에서 모든 플랫폼에 공통적으로 설치하고 있습니다. UUID는 수많은 PC의 응용 프로그램에서 OS 작동, 바이러스 제어 시스템 업데이트 등의 기능을 제공하기 위해 고유의 시스템 정보를 격리할 목적으로 사용되고 있습니다. 인텔 AMT 역시 매우 비슷한 방식으로 플랫폼 UUID를 사용하며, 기본적인 차이는 인텔 AMT가 UUID OOB에 액세스할 수 있도록 UUID를 플래시 메모리 저장소에 복사한다는 데 있습니다.
UPID를 포함한 인텔 AMT 지원 시스템의 UUID는 인텔이 사용자 또는 해당 PC를 추적하는 데 사용할 수 없으며, 또한 인텔이 백도어를 통해 사용자 시스템에 액세스하는 것을 허용하지 않으며, 사용자의 동의 없이 강제로 펌웨어를 플랫폼으로 이동하는 것을 허용하지 않습니다. 인텔 AMT가 플래시에 저장한 모든 UUID는 권한 있는 IT관리자가 특정 인텔 AMT 지원 플랫폼에 대해서만 접근할 수 있습니다. 권한 있는 IT 관리자의 목록은 신뢰 확립을 위해 최종 고객의 IT에서 기업 인증서 또는 인텔 AMT 시스템의 물리적 존재를 직접 사용(BIOS 메뉴 또는 USB 키)하는 보호 프로세스를 통해 구성하므로, 최종 고객의 IT가 지정한 신뢰할 수 있는 서버에 상주하는 콘솔에서 전적으로 구성됩니다. 즉, 최종 고객이 명시적으로 구성하는 경우를 제외하고 인텔 AMT를 통해서는 최종 고객의 외부 당사자와 UUID 또는 기타 어떤 정보도 주고받을 수 없습니다. 특정 시스템의 권한 있는 관리자를 식별하려면, ACL 또는 Kerberos 인증 계정을 검색할 수 있도록 API를 제공하는 https://software.intel.com/en-us/business-client/manageability의 인텔 AMT 소프트웨어 개발자 키트(SDK) 문서를 참조하십시오.
인텔® 액티브 관리 기술(인텔® AMT)은 어떤 종류의 정보를 네트워크 전체에 보냅니까?
인텔 AMT는 사전 정의된 IANA 네트워크: SOAP/HTTP용 포트 1699, SOAP/HTTPS용 포트 16993, 리디렉션/TCP용 포트 16994, 리디렉션/TLS용 포트를 통해 데이터를 주고받습니다. DASH 규격 시스템은 HTTP용 포트 623 및 HTTPS용 포트 664를 통해 데이터를 주고받게 됩니다. KVM(키보드-비디오-마우스) 세션은 위 리디렉션 포트(16994 또는 16995) 또는 기존의 RFB(VNC 서버) 포트 5900을 통해 실행 가능합니다. 네트워크를 통해 전송되는 정보 유형에는 인텔 AMT 명령 및 응답 메시지, 리디렉션 트래픽, 시스템 경고가 있습니다. 포트 16993 및 16995로 전송되는 데이터는 사용자 시스템에서 TLS(전송 레이어 보안) 옵션을 활성화한 경우 TLS로 보호됩니다.
인텔 AMT는 IPV4 또는 IPV6 네트워크를 통해 데이터를 전송할 수 있으며 RFC 3041 개인정보 확장을 준수합니다.
인텔® 액티브 관리 기술(인텔® AMT)은 어떤 식별 정보를 네트워크에 노출합니까?
인텔® AMT가 활성화되어 있는 동안, 네트워크의 다른 사용자가 컴퓨터를 식별하는 데 사용할 수 있는 정보가 개방된 포트에 유지됩니다. 이러한 정보에는 HTTPS 인증서, HTTP 진단 영역, 인텔 AMT 버전 및 컴퓨터를 지문 스캔하는 데 사용할 수 있는 기타 정보 등이 있습니다. 이러한 정보는 인텔® AMT에서 지원하는 정상 프로토콜 작업의 일환으로 제공됩니다. 운영 체제 방화벽으로는 인텔® AMT 포트에 대한 액세스를 차단할 수 없지만, 관리자가 환경 탐지 및 빠른 지원 요청(CIRA)을 사용하여 인텔® AMT 로컬 포트를 닫으면 이러한 정보에 대한 액세스를 제한할 수 있습니다.
권한 있는 IT 관리자는 인텔 AMT를 통해 무엇을 할 수 있습니까?
- 문제 해결 및 복구를 위해 시스템 전원을 원격으로 켜고 끄거나 다시 시작할 수 있습니다.
- 호스트 OS가 작동하지 않거나 손상된 경우에도 시스템 문제를 원격으로 해결할 수 있습니다.
- 시스템의 BIOS 구성 설정을 원격으로 검토 및 변경할 수 있습니다. 인텔 AMT에는 IT 관리자가 BIOS 암호를 바이패스할 수 있는 옵션이 있지만, 모든 OEM에서 이 기능을 구현하지는 않습니다.
- 시스템 보호를 위해 네트워크 트래픽 필터를 구성할 수 있습니다.
- 시스템에서 실행 중인 등록된 응용 프로그램을 모니터링할 수 있습니다(예: 바이러스 백신 소프트웨어의 실행 여부).
- 기술 지원이 필요한 사용자 시스템의 이벤트(예: CPU 과열, 팬 고장, 시스템 보호 필터 트리핑)에 대해 인텔 AMT 펌웨어에서 생성한 경고를 받을 수 있습니다. 더 많은 사례는 www.intel.com/software/manageability에 공개적으로 제공됩니다.
- IT 관리자의 시스템에 위치한 플로피 디스크, CD-ROM 또는 이미지로 부팅 프로세스를 리디렉션하여 사용자 시스템의 문제를 원격으로 해결할 수 있습니다.
- 사용자 시스템의 키보드 입력 및 텍스트 모드 비디오 출력을 IT 관리자 시스템으로 리디렉션하여 시스템 문제를 원격으로 해결할 수 있습니다.
- 사용자 시스템과 IT 관리자 시스템의 키보드, 비디오, 마우스를 상호 리디렉션(KVM 리디렉션)하여 시스템 문제를 원격으로 해결할 수 있습니다.
- 인텔 AMT 관리 기능으로 액세스할 수 있는 네트워크 환경을 구성(예: 신뢰할 수 있는 도메인 정의)할 수 있습니다.
- 등록된 ISV 응용 프로그램을 사용해 플래시 저장소(예: 3PDS 영역)의 데이터를 쓰고 지울 수 있습니다.
- 인텔 AMT가 클라이언트 플랫폼에서 로컬로 관리하는 NVM(비휘발성 메모리)에서 웹 응용 프로그램을 호스트할 수 있습니다(인텔 AMT 11.6 이상).
- UUID를 통해 기업 네트워크 상의 사용자 시스템을 식별할 수 있습니다.
- 인텔 AMT의 프로비저닝을 해제하고 플래시 컨텐츠를 삭제할 수 있습니다.
- 사전 구성된 CIRA(Client Initiated Remote Access) 프로파일을 사용해 기업 네트워크 외부에서도 시스템에 원격으로 접속할 수 있습니다.
권한 있는 IT 관리자는 인텔 AMT를 통해 사용자의 로컬 하드 드라이브에도 액세스할 수 있습니까?
IT 관리자는 원격 관리 세션 도중 사용자의 로컬 하드 드라이브에 액세스할 수 있습니다. IT 관리자는 사용자의 하드 디스크에서 파일을 읽고 쓸 수 있으며, 잘못된 응용 프로그램이나 OS를 복구 또는 재설치하여 사용자의 시스템을 복원할 수 있습니다. 인텔 AMT는 IMSS와 Audit Logging라는 두 가지 기능을 지원하여 IT 관리자에게 정보에 대한 액세스를 제공함으로써 야기되는 잠재적인 개인 정보 위험을 완화시킵니다. Audit Logging은 인텔 AMT를 통한 IT 관리자의 사용자 시스템 액세스 인스턴스를 기록하여 관리자 책임의 근거를 제공하는 기능입니다. 그러나 실제로 기록되는 이벤트는 감사자가 정의하며 이는 보통 기업의 사용자가 아닙니다. 인텔은 고객에게 인텔 AMT 시스템에 대한 원격 액세스 정보를 기록하도록 권장하고 있지만 일부 기업 환경에서는 이러한 정보가 사용자에게 제공되지 않을 수 있습니다. IMSS가 IT 관리자의 사용자 시스템 액세스 인스턴스에 대한 알림을 사용자에게 제공하는 방법에 관한 정보는 아래에서 즉시 확인할 수 있습니다.
권한 있는 IT 관리자는 인텔 AMT KVM 리디렉션을 통해 실제 사용자의 PC 앞에서 키보드를 사용하는 것처럼 PC를 원격으로 제어할 수 있습니까?
KVM 리디렉션을 통한 원격 관리 세션 중 IT 관리자는 사용자의 PC 앞에서 키보드를 사용하는 것처럼 PC를 제어할 수 있습니다. 인텔 AMT는 KVM 리디렉션 세션과 관련하여 사용자의 명시적 동의(KVM 사용자 동의라고 함) 없이는 KVM 세션을 시작할 수 없도록 정하고 있습니다. 리디렉션 세션에 대한 사용자의 동의를 얻으려면 사용자 화면의 모든 창 위에 보안 출력 창("스프라이트")을 표시하여 사용자에게 IT 관리자의 임의 생성 번호를 읽도록 요청해야 합니다. 이때 IT 관리자가 세션 번호를 정확히 입력해야만 KVM 세션이 시작됩니다. 유효한 KVM 세션이 호출되고 나면 사용자의 전체 화면이 반짝이는 빨간색 및 노란색 테두리로 둘러싸이며 이는 IT 관리자가 KVM 문제 해결 세션을 진행하고 있음을 나타냅니다. 반짝이는 빨간색 및 노란색 테두리는 세션이 활성화되어 있는 동안 계속 유지됩니다. KVM 사용자 동의는 인텔 AMT 시스템이 클라이언트 제어 모드에 있는 경우 필수이지만, 관리자 제어 모드에 있는 경우에는 선택 사항입니다.
OEM 설정에 따르면 인텔 AMT의 SOL/IDER 또는 KVM 기능은 BIOS 또는 인텔® MEBX(인텔® 관리 엔진 BIOS 확장)에서 활성화/비활성화할 수 있습니다. IT 관리자는 BIOS 설정 또는 인텔 AMT 구성 설정을 통해 KVM 옵트인에 대한 요구 사항을 변경할 수 있습니다. 인텔은 사용자의 개인정보 보호를 위해 사용자 동의를 의무적으로 얻을 것을 권장합니다.
사용자는 인텔 AMT를 통한 IT 관리자의 시스템 액세스 여부를 어떻게 알 수 있습니까?
IMSS 시스템 트레이 아이콘은 원격 리디렉션 세션의 개시/종료를 통한 IT 관리자의 시스템 액세스(SOL/IDER), IT 관리자의 사용자 시스템 보호 활성화 및 원격 시작과 같은 여러 이벤트에 대한 사용자 알림을 활성화 및 지원합니다. 또한, 활성 원격 리디렉션 세션 동안에는 화면의 오른쪽 위에 반짝이는 아이콘이 표시됩니다. 그러나 실제 기업 환경에서 이러한 이벤트는 사용자가 아닌 IT 관리자가 정의하는 IMSS에 의해 활성화됩니다. 인텔은 인텔 AMT 시스템을 배포한 기업이 본 섹션에 소개된 것과 같은 IMSS 알림을 활성화하도록 권장하고 있지만, 인텔 AMT 시스템 원격 접속에 관한 정보가 모든 사용자에게 제공되지는 않을 수도 있습니다.
사용자가 모든 인텔 AMT 구성 및 개인정보 데이터를 완전히 삭제하는 방법은 무엇입니까?
인텔 AMT는 인텔 AMT 시스템의 부분/전체 프로비저닝을 해제할 수 있는 BIOS 옵션을 제공합니다. 인텔은 최종 사용자가 재판매/재활용 전에 시스템의 프로비저닝을 완전히 해제하고, 중고 인텔 AMT 시스템을 구매할 경우에는 인텔 AMT의 프로비저닝이 완전히 해제되었는지 확인하도록 권장하고 있습니다.
개인정보 보호 정책 업데이트
인텔에서는 이따금 개인정보보호정책을 업데이트할 수 있습니다. 그러한 경우 개인정보보호정책 상단의 "마지막 업데이트" 날짜가 수정됩니다.
추가 정보
추가적인 질문이나 이 개인정보 보충 자료와 관련된 추가 정보가 필요한 경우 이 양식을 사용하여 인텔에 연락하시기 바랍니다.